FileProfile()

Nota

Vuoi provare Microsoft Defender XDR? Altre informazioni su come valutare e pilotare Microsoft Defender XDR.

Si applica a:

• Microsoft Defender XDR

La FileProfile() funzione è una funzione di arricchimento nella ricerca avanzata che aggiunge i dati seguenti ai file trovati dalla query.

Colonna	Tipo di dati	Descrizione
SHA1	string	SHA-1 del file a cui è stata applicata l'azione registrata
SHA256	string	SHA-256 del file a cui è stata applicata l'azione registrata
MD5	string	Hash MD5 del file a cui è stata applicata l'azione registrata
FileSize	int	Dimensioni del file in byte
GlobalPrevalence	int	Numero di istanze dell'entità osservate da Microsoft a livello globale
GlobalFirstSeen	datetime	Data e ora in cui l'entità è stata osservata per la prima volta da Microsoft a livello globale
GlobalLastSeen	datetime	Data e ora dell'ultima osservazione dell'entità da parte di Microsoft a livello globale
Signer	string	Informazioni sul firmatario del file
Issuer	string	Informazioni sull'autorità di certificazione emittente
SignerHash	string	Valore hash univoco che identifica il firmatario
IsCertificateValid	boolean	Indica se il certificato usato per firmare il file è valido
IsRootSignerMicrosoft	boolean	Indica se il firmatario del certificato radice è Microsoft e il file è incorporato nel sistema operativo Windows
SignatureState	string	Stato della firma del file: SignedValid - il file è firmato con una firma valida, SignedInvalid - il file è firmato ma il certificato non è valido, Unsigned - il file non è firmato, Sconosciuto - le informazioni sul file non possono essere recuperate
IsExecutable	boolean	Indica se il file è un file eseguibile portabile (PE)
ThreatName	string	Nome di rilevamento per eventuali malware o altre minacce rilevate
Publisher	string	Nome dell'organizzazione che ha pubblicato il file
SoftwareName	string	Nome del prodotto software
ProfileAvailability	string	Indica lo stato di disponibilità dei dati del profilo per il file: Disponibile: è stata eseguita correttamente una query sul profilo e i dati del file restituiti, Mancante - Profilo sottoposto a query ma non sono state trovate informazioni sui file, Errore - Errore durante la query sulle informazioni del file o è stato superato il tempo massimo assegnato prima del completamento della query o un valore vuoto - se l'ID file non è valido o è stato raggiunto il numero massimo di file

Sintassi

invoke FileProfile(x,y)

Argomenti

• x: colonna ID file da usare: SHA1, SHA256, InitiatingProcessSHA1o InitiatingProcessSHA256; la funzione usa SHA1 se non specificato
• y: limite al numero di record da arricchire, 1-1000; la funzione usa 100 se non specificato

Consiglio

Le funzioni di arricchimento mostreranno informazioni supplementari solo quando sono disponibili. La disponibilità delle informazioni è varia e dipende da molti fattori. Assicurarsi di considerare questo aspetto quando si usa FileProfile() nelle query o nella creazione di rilevamenti personalizzati. Per ottenere risultati ottimali, è consigliabile usare la funzione FileProfile() con SHA1.

Esempi

Proiettare solo la colonna SHA1 e arricchirla

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Arricchire i primi 500 record ed elencare i file a bassa prevalenza

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15

Argomenti correlati

• Panoramica della rilevazione avanzata
• Capire il linguaggio delle query
• Comprendere lo schema
• Ottenere altri esempi di query

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.